Shibuya.XSSまとめ

すぎゃーん💯 @sugyan

自重せずにピザとビール始めてる #shibuyaxss

nor @nori0428

撮影、ust禁止、tweetも危ない話題は禁止 #shibuyaxss

:tetsuharu @saneyuki_s

さすがに漫談じゃなくて資料あるらしい？ #shibuyaxss

だぁち @daachi

至れり尽くせりな会合ですね。　#shibuyaxss

女性声優 @ssig33

乾杯 #shibuyaxss

女性声優 @ssig33

何もかも雑 #shibuyaxss

女性声優 @ssig33

ピザないの不便だし徳丸さんの隣あいてたので移動した #shibuyaxss

Yosuke HASEGAWA @hasegawayosuke

Shibuya.XSSはじまった。

:tetsuharu @saneyuki_s

さすがに妖狐x僕JSじゃないっぽい #shibuyaxss

女性声優 @ssig33

DOM Based XSS の性質とか #shibuyaxss

kyo_ago @kyo_ago

でも、DOM basesd XSSはソース読めるので、サーバサイドと比べればまだ解析しやすい #shibuyaxss

Yosuke HASEGAWA @hasegawayosuke

malaさん、すごい髪なびかせながらしゃべってる。

女性声優 @ssig33

バリデーションしなきゃいけない時点でまるでダメ、あとピザうまい #shibuyaxss

ひささん@第4回日記祭12月10日下北沢 @hisasann

#shibuyaxss 見てる。

女性声優 @ssig33

セレクタ使いたいときは .find を #shibuyaxss

kyo_ago @kyo_ago

「$()は汎用的すぎるので、要素探すなら$(document).find()使う」 #shibuyaxss

女性声優 @ssig33

XHR のリクエスト先を動的に作る時は // で外部にいけるので気をつけるよう #shibuyaxss

S.Sugo@weak force @sakunyo

#shibuyaxss あとで目を通す。

女性声優 @ssig33

ピザとビールんまい #shibuyaxss

女性声優 @ssig33

これパスワード以外にも Chrome の自動フィルインとかで個人情報抜ける、 Chrome のフォーム自動フィルイン、フォームが hidden だとダメだけど画面外とかだと動く #shibuyaxss

トデス子'\ @todesking

「というのを見つけたのであとで報告しとこうと思います」 #shibuyaxss

kyo_ago @kyo_ago

「パスワードを入力させる場所はドメインを独立させてそこを徹底的に守る」 #shibuyaxss

Yosuke HASEGAWA @hasegawayosuke

でも、ログイン画面って遷移先URLでけっこうXSSあるよね。 #shibuyaxss

すぎゃーん💯 @sugyan

XSSによるパスワード盗み対策例： パスワード入力させるようなところは"login.example.com"のようにサブドメインにしておき、他に余計な機能をつけないようにする #shibuyaxss

かるぱねるら @karupanerura

ふつーに危ない情報流れてきて吹いた #shibuyaxss